Cyble’ın haftalık sensör raporu, tehdit aktörlerinin aktif olarak yararlandığı güvenlik açıklarına her zaman büyüleyici bir bakış sunuyor. Yeni güvenlik açıklarından hızla yararlanılırken, eski güvenlik açıklarından hâlâ endişe verici olmasa da dikkate değer bir sıklıkta yararlanılıyor.
Şimdi, büyükbabanızı beş yıllık Windows masaüstünü hiç güncellemediği için suçlamadan önce, sürekli olarak en çok istismar edilen güvenlik açığının ne olduğuna inanamayacaksınız. Ya da kritik altyapı siber güvenliği alanında çalışıyorsanız yanıt sizi şaşırtmayabilir.
Bu güvenlik açığının belirli bir haftada 100.000’den fazla kez saldırıya uğradığını görmek alışılmadık bir durum değil, ancak bu hafta Cyble sensörleri bu tek güvenlik açığına dudak uçuklatan 411.000 saldırı tespit etti ve bu da istismarın zaman içinde dramatik bir şekilde arttığını gösteriyor. Daha da kötüye gidiyor, iyiye değil.
Güvenlik açığı, Treck TCP/IP yığınında yerleşik cihazların sınırlı alanı için bir IPv6 uygulaması olarak geliştirilen, dört yıldır bilinen bir güvenlik açığı olan CVE-2020-11899’dur. Bu, 6.0.1.66’dan önceki Treck TCP/IP sürümlerini etkileyen kusurun, IPv6’yı destekleyen herhangi bir tıbbi, endüstriyel veya kritik altyapı cihazında ve bazı tüketici cihazlarında da mevcut olma ihtimalinin yüksek olduğu anlamına geliyor.
CVE-2020-11899, korkutucu olmayan 5.4 olarak derecelendirilen bir Sınır Dışı Okuma güvenlik açığıdır, ancak “Ripple20” güvenlik açıkları serisinin bir parçası olarak kullanıldığında, Cadılar Bayramı’nda bazı seviyelerde korkutuculuğa yol açabilir. Ripple20’nin kaşifi JSOF’un belirttiği gibi:
“…veriler bir yazıcıdan çalınabilir, bir infüzyon pompasının davranışı değişebilir veya endüstriyel kontrol cihazları arızalanabilir. Bir saldırgan, kötü amaçlı kodu yerleşik aygıtların içinde yıllarca gizleyebilir. Güvenlik açıklarından biri, ağ sınırlarına dışarıdan giriş yapılmasını mümkün kılabilir; ve bu potansiyel risklerin yalnızca küçük bir kısmı.”
Potansiyel olarak yüz milyonlarca IoT, IIoT ve bazı tüketici cihazları da dahil olmak üzere gömülü cihazların bu güvenlik açıklarından etkilendiği göz önüne alındığında, bu, steroidler üzerindeki bir yazılım tedarik zinciri güvenlik açığıdır. CISA’nın geçen ay güncellenen Ripple20 tavsiye belgesi, güvenlik açıklarından potansiyel olarak etkilenen 17 önde gelen endüstriyel, tıbbi ve kritik altyapı cihaz üreticisini listeliyor. Bu cihazların güncellenmesi de zor olduğundan, bu durumda riskleri kontrol etmek için birçok kuruluşun yapabileceği en iyi şey azaltımlar olabilir.
IoT güvenliğinin içler acısı durumu ve iyileştirme umutlarının yanı sıra, kuruluşların kendilerini bu çok aktif istismardan korumak için neler yapabileceklerine bakacağız.
En Çok İstismara Uğrayan Güvenlik Açığı ve IoT Güvenliği
2024, AB Siber Dayanıklılık Yasası ve Birleşik Krallık Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Yönetmeliklerinin yürürlüğe girmesi ve diğer birçok ülkede başlatılan girişimlerle IoT güvenliği için daha iyiye doğru bir dönüm noktası olabilir, ancak yeni kurallar ve yasalar çok az şey yapacaktır. Milyarlarca olmasa bile, savunmasız kalan ve fiziksel ve siber saldırılara açık olan milyonlarca eski cihaz için.
IoT cihazlarının sıklıkla bilinen güvenlik açıklarını barındırmasının birçok nedeni vardır. Bazıları kullanım ömrünün sonuna (EOL) ulaştı ve değiştirilemeyecek kadar entegre veya pahalı. Bazıları sürekli olarak çalışmak zorunda olduğundan yama yönetimi açısından göz korkutucu lojistik zorluklar ortaya çıkarmaktadır. Diğerleri fiziksel olarak uzaktadır veya farklı işletim sistemleri ve konfigürasyonlardan (çoğu standart olmayan) oluşan geniş bir ağın parçasıdır ve bu da güncellemeyi neredeyse imkansız hale getirir. Ve bazılarının hiçbir zaman internete açık olması amaçlanmadı, bağlantılı işlevsellik sonradan akla gelen bir düşünce olarak eklendi.
OT/ICS güvenlik şirketi Dragos’un olay müdahale direktörü Lesley Carhart, dün yayınladığı bir blog yazısında, zorluklar göz korkutucu olmaya devam etse de operasyonel teknoloji farkındalığındaki olumlu değişikliklere dikkat çekti.
Carhart, “Sıklıkla Windows 2003 veya daha eski işletim sistemlerini görüyoruz” diye yazdı. “Modern adli tıp ajanlarını çoğu ortamda güvenli bir şekilde kullanma konusunda çok az yetenek var. Her şey yaşam ve güvenliğe odaklanıyor.”
Carhart’ın gönderisinde en dikkat çekici olan şey, yıllardır ödün verildiği bilinen ortamların sayısıdır.
Carhart, “Uzun vadeli enfeksiyonlar (düşünün, 5-10 yıl) ve endüstriyel ortamlarındaki mimari uzlaşmalar için kapsam belirleme ve kaldırma planları oluşturmaya ilgi duyan müşterilerin sayısında bir artış gördük” diye yazdı. “Güvenli endüstriyel operasyon gereksinimleri, proses tesislerinde toplu temizlik ve yeniden görüntüleme çalışmalarını son derece zorlaştırıyor. Birçok tesis yıllardır enfeksiyon ve risk seviyesini korudu ve azaltma faaliyetlerini yürütmenin çok maliyetli veya yüksek riskli olduğunu düşündü. Ancak bu uzlaşma noktaları, öngörülemeyen bir şekilde nihai operasyonel ve teknik etkiye neden olabilir. Sorunun boyutunun anlaşılmasına ve ortadan kaldırılmasının güvenli bir şekilde ‘projelendirilmesi’ne olan ilgi arttı.”
Carhart yeni farkındalığı olumlu görse de, OT güvenliğine aşina olmayanlar için rahatsız edici olan şey, birçoğunun yalnızca yama yapılmamış cihazların riskini kabul etmekle kalmayıp, aynı zamanda bununla birlikte gelen tavizleri de kabul etmiş olabileceğidir.
Sebepler ne olursa olsun, internete açık milyarlarca IoT cihazı güvenlik açıklarına sahip olabilir ve muhtemelen milyonlarcası zaten etkilenmiş olabilir.
Bir OT organizasyonu ne yapmalıdır?
IoT Güvenlik Uygulamaları ve Kontrolleri
Halihazırda virüs bulaşmış bir kuruluşun maliyetli temizleme dışında yapabileceği pek bir şey olmayabilir (kritik bir altyapıdaysanız, CISA ücretsiz yardım sunabilir), ancak kritik IoT cihazlarına sahip tüm kuruluşların hasarı sınırlamak için atabileceği adımlar vardır ve erişim.
Sorunun kapsamını anlayabilmek için IoT cihazlarının bir envanteriyle başlayın. Mümkünse yama yapın ve gerekirse daha fazla bilgi için satıcılarla iletişime geçin.
Bir cihazın internete açık olması gerekmiyorsa, olmadığından emin olun ve gereksiz bağlantı noktalarını, hizmetleri ve protokolleri devre dışı bırakın.
Carhart büyük bir soruna dikkat çekiyor: “Kurumsal ve OT arasında DMZ sınırlarının etkisiz olması.” Bu durum en iyi şekilde, güçlü ağ bölümlendirmesi ve mikro bölümleme ile erişimi ve izinleri yalnızca rolün gerektirdiği şeylerle sınırlayan “sıfır güven” politikalarıyla düzeltilir. Bazı parçaların diğerlerinden daha hassas olması durumunda OT ağının kendisinde bile segmentasyon yapılabilir.
IoT trafiğinin büyük çoğunluğu şifrelenmemiştir ve bu da çoğu kuruluşun öncelik listesinde üst sıralarda yer alması gereken bir kontroldür. Güvenlik duvarları, izinsiz giriş tespiti, ağ izleme ve hatta VPN’ler şu anda mevcut olan birçok kontrolden daha iyi kontrollerdir.
Varsayılan şifreler ve kullanıcı adları değiştirilmediyse değiştirilmeli ve mümkün olan her yere çok faktörlü kimlik doğrulama (MFA) eklenmelidir.
JSOF’un ilk tavsiyesinde, aralarında Dell, Cisco ve HP/HPE gibi büyük isimlerin de bulunduğu, Ripple20’den etkilenen 31 tedarikçi listelendi; dolayısıyla OT ortamlarının kendi envanterlerini değerlendirmeleri gerekiyor. Tenable, JSOF’un çalışmalarındaki ve teknik incelemelerindeki komut dosyalarını temel alarak bir Nessus eklentisi oluşturdu.